VMPS:把叉子放进去

VLAN会员策略服务器(VMPS)是一种技术，在某个时间点上，为组织机构提供了一种方法来控制对其网络的访问。一些组织接受了它，几年后，他们发现这是一个沉重的负担。然而，摆脱vmp并非易事，拖延的时间越长，分手的难度就越大。

VMPS是思科的专有解决方案，为用户提供访问网络基于他们的MAC地址。VMPS可以在Cisco 4000/4500/5000/6000/6500交换机上使用。作为VPMS配置的一部分，使用有效网络附加设备的MAC地址和vlan构造一个大表。这个VMPS数据库放在网络环境中的交换机上，交换机的作用类似于VMPS服务器，以便其他交换机进行查询。当计算机打开并激活它们的nic时，环境中的访问开关使用VLAN查询协议(VQP)，它使用UDP端口1589确定终端用户MAC地址的VLAN名称，然后将该用户分配给该VLAN。VMPS访问系统根据用户的MAC地址动态地将以太网交换机分配给特定的VLAN。这个数据库是手工维护的，并且根据组织的大小，经常每天更新1到10次。VMPS下载服务器是一个Cisco以太网交换机，而vmp .cfg文件是通过TFTP传输到VMPS服务器的文件。还可以使用主VMPS服务器和备份VMPS服务器来实现高可用性。

如果你是好奇这里是思科指南配置vmp在6500个运行CatOS 8.7。

下面是一个指南催化剂VMPS开关的故障排除。

许多人已经编写了VMPS的描述。从肖恩Convery的思科出版社图书这里是什么，他说这大约VMPS。

与VMPS的问题：

这个系统确实有一些缺点。如果攻击者知道他们在做什么，他们仍然可以用本地管理的MAC地址分配一个静态的IP地址给他们的系统来破坏这个系统。该系统还有许多未被删除的历史MAC地址。因此，需要对仍然有效的MAC地址执行审计。一种方法是今天拉出凸轮表然后说今天网络中的所有东西都是允许的。

与VMPS服务器的一个问题是，该协议取决于用户的数量和数据库的大小会消耗大量的处理器。我见过组织与成千上万的用户和成千上万的数据库条目的。这是因为一些组织有纪律一旦进入它从数据库中删除任何东西。如果你正在使用VMPS和您注意到您的VMPS服务器上的这些消息，那么你可能有问题。该日志可以显示有关VQP有问题许多消息。这样的消息可以在系统日志或在丰富的CiscoWorks服务器。

2009年1月5日15时46分二十六秒MDT -07：00％IP-6-UDP_SOCKOVFL：UDP套接字溢出从源IP：192.168.126.92，目的端口：1589思科错误信息解码器说，这些信息涉及以下问题。

1.％IP -6- UDP_SOCKOVFL：UDP套接字从源IP溢出：[字符]，目的端口：[DEC]此消息表示用于在网络管理处理器（NMP）UDP套接字的所有缓冲区填补了由于过度在管理VLAN的UDP流量，无法存储更多的流量。[字符]为源IP地址和[dec]是目标端口号。

推荐的操作：取出或阻塞UDP信息包的源，以防止进一步的UDP数据包丢失。注意内核消息并不表明系统性能的问题，但应当报您的技术支持代表。

与VMPS其他问题涉及vmps.txt文件占用的VMPS服务器的闪存文件系统空间。这种体验在案Jonboys博客。

问题出现的事实，为了使用VMPS必须使用CatOS的。VMPS不猫IOS支持。因此，选择了VMPS任何组织一直坚持没有升级路径。这个技术过时的问题阻碍了使用VMPS许多企业从能够使用任何新功能，在猫IOS。此外，VMPS现已弃用思科和我们不建议客户使用。事实上，使用VMPS组织被冻结在目前使用的对他们的转换时，因为新版本不支持VMPS的软件版本。因此，使用VMPS组织不得不如果一个漏洞是在交换机软件的当前版本中发现VMPS和安全性之间做出选择。

DISA有Dissed VMPS：

美国国防信息系统局(DISA)网络安全安全技术实施指南(STIGs)不推荐国防部组织使用。的DISA STIG对76-78页上VPMS几个段落。与总结性的句子结束“出于这些原因，美国国防部认为，VMPS不得用于提供端口认证或动态VLAN分配。”

做VMPS用户有什么选择？

还有其他一些替代VMPS和鼓励企业探索，将有未来的思科支持，也是基于行业标准的其他选项。什么组织真正需要的是一种能够方便地进行网络访问控制（NAC）并防止未经授权的用户访问网络。市场上有许多风格和口味的NAC解决方案。因为有许多不同的方法，可能很难区分它们。每个系统都有不同的方法来评估端点的安全性，它们也有不同的方法来包含安全威胁。下表涵盖了NAC产品使用的少数基本的政策执行形式。

执行技术:

IEEE 802.1X以太网交换机仅在终点正确地验证和健康的打开的端口。这是无线局域网常见。缺点是，每个端点需要一个请求者。

VLAN转向这项技术是将用户的LAN交换端口分配给特定的VLAN（来宾，整治，内联网，...）。NAC系统的指挥和控制功能必须与LAN交换机交互。

DHCP租赁管理的NAC系统控制，所述终点接收通过DHCP的IP地址

ARP中毒使用ARP来控制哪些主机可以通过修改IP地址绑定到MAC地址来进行通信

DNS重定向重定向向门户网站的所有DNS请求将用户引导至鉴权系统

串联阻断NAC系统，是在联机计算机和网络的核心之间可以从与网络的其余部分通信停止特定的客户端。越接近NAC系统对端点的更精细的控制。

DHCP和ARP中毒是两个用于控制技术，其端点获得对网络的访问。NAC系统首先将一台主机上的专用网络，以便它可以进行评估，然后根据需要改变主机的IP。DHCP控制需要很少变化到底层基础设施，并且比开关端口操纵，VLAN转向或动态地更新路由器ACL创伤更小。ARP中毒，在另一方面，使用ARP来管理使用网络主机到单个子网内通信的MAC到IP映射。如果主机发出的ARP报文说这是网络路由器，例如，在该段所有端点将发送它必将为其它段（注意，这个概念被称为ARP中毒不管是用于善或恶）的所有数据包。

无论哪种方法，很容易被攻击者知识渊博击败。使用静态IP地址将绕过DHCP租赁管理得心应手。ARP中毒是有点强，但在Windows主机上，使用内置“ARP -a”命令将创建一个静态ARP映射。最棘手的部分是获得网络对等 - 路由器，例如 - 要知道你的真实MAC地址是什么。不断发出针对ARP响应是一个解决方案。因此，当DHCP租赁管理和ARP中毒NAC试点过程中有其用途为临时执行办法，更好的执法手段，如VLAN转向或802.1X应该是首选。这一规则的例外是那里没有别的效果很好，如当基础设施不受管理的情况下，或者它太昂贵部署在线执行。

思科三层交换机具有DHCP窥探和动态ARP检验拥有这些LAN的残害，是可以帮助保持标签。我经常建议这些给我的客户，即使一个NAC解决方案不被部署这些功能被启用。

最好的办法NAC执行端点评估和检查状态允许客户端之前连接到网络。较强的NAC解决方案提供集成与LAN交换的基础设施和使用802.1X实现网络边缘的这种严格的控制。然而，当组织有集线器它使802.1X基础设施解决方案难以部署。这些中心将需要为了能够部署NAC解决方案将被删除。

使用802.1X通常不会有很多的补救功能，因此NAC解决方案必须与其他技术进行修复相结合。IEEE 802.1X仅仅只是一个访问控制方法。最坏情况下的解决方案需要一次在Guest VLAN中的计算机的人工固定。该更好的解决方案可以自动主机的整治。

带内NAC系统可能会受到来自千兆以太网桌面的大量带宽的潜在影响。有些带内NAC解决方案使用高性能专用集成电路，有些甚至有10GE接口用于在分布网络和核心网络交换机之间连接。由于当今许多组织的网络主要由10/100/1000个访问端口组成，因此带宽就不那么重要了。一些带内解决方案在NAC层-2解决方案上与IEEE 802.1Q操作。这可能是一个可行的解决方案，因为带内解决方案的聚合带宽是可以接受的。

虽然有几种解决方案存在作为VMPS可行的替代品VMPS最流行的替代选择是组织使用基于身份的网络服务（IBNS）802.1X MAC验证绕过（MAB）或更完整的NAC溶液等思科的南京汽车电器。即使思科建议和VMPS思科安全用户注册工具（CSURT）用户迁移到802.1X MAB。

802.1倍马伯允许在不连接到接入交换机具有在RADIUS认证请求中所使用的MAC地址802.1X请求者设备。RADIUS服务器在它的数据库中查找MAC地址，并确定该MAC地址是允许的，哪些VLAN应该分配。RADIUS服务器响应由与该信息以允许计算机访问网络接入交换机的认证请求。诀窍是获得MAC地址和VLAN映射到RADIUS服务器或转换成用于RADIUS服务器的查询LDAP数据库。

如果你是好奇这里是链接到Cisco 6500的CatOS 8.7配置指南802.1 x。此外，这里是思科6500猫IOS 12.2（SXH）配置指南802.1 x。

下面是已被放置到802.1X MAB模式将Cat IOS交换机上的界面的示例配置。接口FastEthernet1 / 6交换机端口接入VLAN 20交换机端口模式访问命令dot1x mac-AUTH-旁路下dot1x PAE鉴权下dot1x端口控制自动生成树portfast的生成树bpduguard使

配置命令已经改变到在12.2 6500较新版本使用“认证”命令一个新的语法。下面是猫IOS 12.2（33）SXI一个较新的MAB结构的一个例子。

路由器(配置)#界面FastEthernet路由器(config-if) 1/6 #验证港口管制汽车路由器(config-if) #验证事件没有响应操作授权vlan 20路由器(config-if) # dot1x pae身份路由器(config-if) # dot1x超时supp-timeout 3路由器(config-if) # dot1x超时tx-period 15路由器(config-if) # dot1x pae身份路由器(config-if) #马伯(eap)

下面是用于确定您的MAB配置工作如预期一些有用的Cisco IOS show命令。显示下dot1x所有[摘要]显示下dot1x界面显示下dot1x接口fastethernet1 / 6细节展示认证[注册|接口|方法]显示认证会话[手柄手柄] [接口接口] [MAC MAC] [法法] [会话ID会话ID]显示VLAN组[组名组名]清除下dot1x接口快速以太网1/6清晰接口快速以太网1/6方法马伯认证课程

要了解更多关于Cat IOS 12.2(33)SXI中802.1X的最新特性，请查看詹姆Heary的博客在话题。

如果你是VMPS的当前用户我祝你一切好运迁移到802.1X（有或没有MAB）或NAC设备的解决方案。

斯科特